ContainerOS - Container Service for Kubernetes - Alibaba Cloud ドキュメントセンター

ContainerOS は、コンテナ環境に最適化されたアリババクラウド公式のオペレーティングシステムであり、Kubernetes エコシステムと完全互換です。Alibaba Cloud Linux 3 を基盤としており、セキュリティ強化、高速ブート、最小限のシステムサービスおよびパッケージ構成を実現します。また、すぐに利用可能なクラウドネイティブコンポーネントが事前に統合されています。

適用範囲

コンテナーランタイムとして containerd を使用する ACK マネージドクラスター（クラスターバージョン 1.24 以降）のノードプールに適用可能です。詳細については、「ACK マネージドクラスターの作成」をご参照ください。クラスターのアップグレードについては、「クラスターの手動アップグレード」をご参照ください。
GPU ノードおよび Arm アーキテクチャのノードではサポートされていません。

ContainerOS の概要

コンテナ化されたデプロイメントでは、コンテナーランタイムや Kubernetes などのクラウドネイティブコンポーネントにより、低レベルのインフラストラクチャ詳細を管理することなくアプリケーション開発に集中できます。一方、従来のオペレーティングシステムは多様なユースケースに対応するよう設計されており、多数のユーザースペースツール、パッケージ、およびサービスを含むため、システムが肥大化し、ブート時間が長くなり、ソフトウェアパッケージの種類やバージョンの多様性に起因する運用上の課題が生じます。

ACK は、これらの課題を解決し、クラウドネイティブシナリオにおけるユーザー体験を向上させるために ContainerOS を設計しました。ContainerOS は軽量でモジュラー構成のオペレーティングシステムであり、コンテナーの起動および実行が高速です。さらに、セキュリティが強化され、必要なリソースが少ないため、クラウドコンピューティングおよび大規模デプロイメントに最適です。

特徴

特徴	説明
スリム化されたイメージ	Kubernetes Pod の実行に必要な最小限のパッケージおよびシステムサービスのみを含みます。システム全体の最適化により、ブート時間が大幅に短縮されます。ContainerOS および従来のオペレーティングシステム（Alibaba Cloud Linux 3、Alibaba Cloud Linux 2、CentOS）には、それぞれ約 210 個および約 600 個のプリインストール済みパッケージが含まれています。システムの占有領域の削減：ContainerOS はパッケージ数を 60 % 以上削減し、システムのストレージ要件を大幅に低減します。脆弱性の削減：パッケージ数が少ないことで、共通脆弱性識別子（CVE）の数も減少し、システムの攻撃対象領域が大幅に縮小されます。さらに、ContainerOS には Python のサポートおよび直接の SSH ログイン機能は含まれません。これにより、基盤となるオペレーティングシステムを意識することなく、ビジネスアプリケーションの開発および実行に集中できます。
クイックランチ	フルスタックの最適化により、OS のブート速度が大幅に向上し、ACK インフラストラクチャ内でのノードのスケールアウト時間が短縮されます。OS のブートプロセスを簡素化し、クラスターマネジメントコンポーネント用のコンテナイメージを事前にインストールすることで、ノード起動時のイメージプルによる遅延を低減します。さらに、ACK コントロールプレーンの最適化と組み合わせることで、ノードのスケールアウトがさらに加速します。たとえば、以下の図は 1,000 ノード規模のスケールアウトにおいて、ContainerOS 上での P90 ノード準備完了時間がわずか 53 秒であることを示しています。これは、CentOS や最適化済みの Alibaba Cloud Linux 2 カスタムイメージと比較して顕著な優位性を示します。重要この例に示すデータは参考用であり、実際のデータは製品の最適化状況によって異なる場合があります。実際のパフォーマンスはお客様の運用環境に依存します。
セキュリティ強化	ルートファイルシステムは読み取り専用です。基本的なシステム構成を可能にするため、/etc および /var ディレクトリのみが書き込み可能となります。この設計は、クラウドネイティブ環境における不変インフラストラクチャの原則に沿っており、エスケープしたコンテナーによるホストファイルシステムへの改ざんを効果的に防止します。追跡不能な操作を防ぐため、直接のユーザーログインは禁止されていますが、非定型の O&M 用途には専用の管理用コンテナーが提供されます。
アトミックアップグレード	クラウドネイティブの不変インフラストラクチャの原則に従い、ContainerOS には `yum` などのパッケージマネージャは含まれません。OS イメージレベル（ディスク交換）での更新およびロールバック、および限定的なレイヤー型ホットアップグレードをサポートします。これにより、クラスター内のすべてのノードでソフトウェアのバージョンおよびシステム構成が一貫性を保ちます。

メリット

メリット	説明
コンテナ環境向け最適化	ContainerOS は、コンテナ環境に特化して設計・最適化されており、クイックランチ、セキュリティ強化、不変のルートファイルシステムといった特徴を備えています。これらによりパフォーマンスが向上し、クラスター全体の運用および管理が簡素化され、すべてのノード間で高い一貫性が確保されます。
高速なノードスケールアウト	ACK コントロールプレーンの最適化と OS 内部の強化を統合することで、ContainerOS はノードのスケールアウトを大幅に加速します。現在、ACK の自動スケーリングにおける総所要時間の 90 % 以上がノードのスケールアウトに起因しています。ContainerOS を採用することで、ノードプールの自動スケーリング体験が劇的に向上します。
OS の保守性	ACK コントロールプレーンとの連携により、ContainerOS は Kubernetes やその他のシステムソフトウェアの継続的更新、CVE パッチ適用、オンデマンドでのイメージリリースをサポートし、OS の管理性を高めます。事前にインストール済みのイメージを活用してノード起動を高速化する Alibaba Cloud Linux 2 カスタムイメージソリューションと比較して、ContainerOS には公式のメンテナンスおよび CVE パッチ適用が含まれます。これにより、カスタム OS イメージのメンテナンス、アップグレード、重大な問題の修正に必要な工数が削減されます。 ACK との共同最適化により、ContainerOS は運用タスクに起因するノードの停止時間を大幅に削減し、業務継続性を確保します。
Alibaba Cloud Linux 3 との互換性	ContainerOS のカーネルバージョンおよび大部分のパッケージは、Alibaba Cloud Linux 3 と同一です。最新のカーネル 5.10 LTS を採用しており、クラウドアプリケーションに Linux コミュニティの最新機能を提供します。

セキュリティ

ContainerOS は、以下の設計原則を適用してセキュリティを強化します。

オペレーティングシステムのセキュリティ

特徴

説明

最小実行環境

ContainerOS は、コンテナ化された環境で必要となるパッケージおよびシステムサービスのみを含み、合計で約 210 個のパッケージです。パッケージ数が少ないほど CVE 数も少なくなり、OS の攻撃対象領域が縮小されます。binutils、Python、openssh、tcpdump のような脆弱性を有するパッケージは削除されています。ContainerOS はスクリプト言語の実行環境を最小限に抑え、Python、Perl、Ruby スクリプトをサポートしません。

ContainerOS ノードの O&M

最小実行環境および不変のルートファイルシステムを採用してセキュリティを強化します。ContainerOS ノードの O&M 方法は、標準の Linux オペレーティングシステムとは異なります。詳細については、「ContainerOS ノードの O&M」をご参照ください。

不変のルートファイルシステム

yum などのパッケージマネージャはサポートされていません。rpm-ostree を用いたトレーサブルな OS 変更およびロールバックのみがサポートされます。ルートファイルシステム / およびバイナリおよび動的ライブラリを格納するコアディレクトリ /usr は読み取り専用です。/etc（動的構成）および /var（ログ記録およびコンテナイメージ）ディレクトリは引き続き書き込み可能です。

ファイルシステム内のパス、属性、および推奨される使用方法

パス	属性	目的
`/` `/usr`	読み取り専用実行可能	ルートファイルシステム `/` および `/usr` ディレクトリは、システムの整合性を保ち、改ざんを防止するために読み取り専用でマウントされます。
`/etc`	書き込み可能ステートフル	このディレクトリには、カスタム systemd サービスファイルや個別のソフトウェア構成など、システム構成ファイルが格納されます。これらのファイルはシステムアップグレード後も保持されます。
`/var`	書き込み可能ステートフル	このディレクトリには、コンポーネントが実行時に作成するディレクトリ（例：`/var/run/NetworkManager`）およびコンポーネントの作業ディレクトリ（例：`/var/lib/containerd`）が格納されます。このディレクトリの内容は、システムアップグレード後も保持されます。
`/home` `/mnt` `/opt` `/root` `/usr/local`	書き込み可能ステートフル	これらのディレクトリは `/var` ディレクトリ内にシンボリックリンクとして存在します。これにより、`/home` ディレクトリ内への新規ユーザー作成や、`/mnt` ディレクトリ内への他のデータディスクのマウントなど、システム運用中の使用が可能になります。
`/run` `/tmp`	書き込み可能ステートレス	これらのディレクトリは tmpfs としてマウントされ、システムが必要とする一時ファイルを格納します。これらのディレクトリ内のデータは再起動時にクリアされます。

読み取り専用のシステムディスク

システムディスクは読み取り専用に設定されており、改ざんおよび持続的な攻撃から保護されます。システムが正常に起動および実行されるためには、追加のデータディスクをマウントする必要があります。

ユーザーのデータはデータディスク上に保存され、システムディスクから分離されます。データディスクはデフォルトで /var ディレクトリにマウントされます。

ContainerOS 3.5.0 以降のバージョンでのみサポートされます。

シェルインタープリターの削除

/bin/bash や /bin/sh などのシェルスクリプトインタープリターはシステムから削除されており、シェルスクリプトの実行チャネルを遮断することで、悪意あるスクリプト攻撃のリスクを低減します。

ブートストラップコンテナー

ContainerOS は、メインコンテナーの起動前にカスタムユーザー定義データスクリプトを実行するためのブートストラップコンテナーを提供します。ブートストラップコンテナーは初期化タスクを完了後に自動的に終了し、メインシステムまたは主要アプリケーションコンテナーに対するセキュリティリスクを防止します。

インフラストラクチャのセキュリティ

ContainerOS は、Alibaba Cloud Linux の「配布フレームワーク」に基づいて構築されています。Alibaba Cloud Linux は、当プラットフォーム上で最も広く利用されている OS であり、クラウドネイティブシナリオ向けに広範に最適化された基盤を提供します。この確立されたエコシステムを活用してパッケージ構築およびイメージ配信を行うことで、ContainerOS は一貫した信頼性を確保します。さらに、すべてのイメージはリリース前に厳格なベースライン OS および ACK 統合テストを経ており、最大限の可用性およびセキュリティを保証します。

課金

ContainerOS は無料のイメージです。ACK ノードプールで ContainerOS イメージを使用でき、オペレーティングシステムについてアリババクラウドから長期的なサポートを無償で受けられます。

ただし、ContainerOS イメージを使用する場合、vCPU、メモリ、ストレージ、パブリック帯域幅、スナップショットなど、その他のリソースについては課金されます。その他のリソースの課金に関する詳細については、「課金の概要」をご参照ください。

参照

ノードプールのオペレーティングシステムとして ContainerOS を使用する方法については、「ContainerOS の使用」をご参照ください。
ContainerOS イメージのリリースノートについては、「ContainerOS イメージのリリースノート」をご参照ください。